排除 AWS 客户端与 macOS 客户端的VPN连接故障 - AWS 客户端 VPN
AWS 提供的客户端事件日志客户端无法连接客户端卡在重新连接状态客户端无法创建配置文件需要帮助工具错误Tunnelblick未找到密码算法 “AES-256-GCM”连接停止响应并重置扩展密钥用法 (EKU)过期的证书打开 VPN无法解决 DNS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排除 AWS 客户端与 macOS 客户端的VPN连接故障

以下部分包含有关使用 macOS 客户端时可能遇到的日志记录和问题的信息。请确保您正在运行这些客户端的最新版本。

AWS 提供的客户端事件日志

AWS 提供的客户端会创建事件日志,并将其存储在您计算机上的以下位置。

/Users/username/.config/AWSVPNClient/logs

提供以下日志类型:

  • 应用程序日志:包含有关应用程序的信息。这些日志的前缀为“aws_vpn_client_”。

  • 打开VPN日志:包含有关打开VPN进程的信息。这些日志的前缀是“ovpn_aws_vpn_client_”。

AWS 提供的客户端使用客户端守护程序来执行 root 操作。守护程序日志存储在计算机的以下位置。

/tmp/AcvcHelperErrLog.txt
/tmp/AcvcHelperOutLog.txt

AWS 提供的客户端将配置文件存储在您计算机上的以下位置。

/Users/username/.config/AWSVPNClient/OpenVpnConfigs

客户端无法连接

问题

AWS 提供的客户端无法连接到客户端VPN端点。

原因

出现此问题的原因可能是以下原因之一:

  • 另一个 Open VPN 进程已在您的计算机上运行,这会阻止客户端连接。

  • 您的配置 (.ovpn) 文件无效。

解决方案

检查您的计算机上是否有其他 Open VPN 应用程序在运行。如果有,请停止或退出这些进程,然后尝试再次连接到客户端VPN终端节点。查看 Open VPN 日志中是否有错误,并请您的客户VPN管理员验证以下信息:

客户端卡在重新连接状态

问题

AWS 提供的客户端正在尝试连接到客户端VPN终端节点,但处于重新连接状态。

原因

出现此问题的原因可能是以下原因之一:

  • 您的计算机未连接到 Internet。

  • DNS主机名无法解析为 IP 地址。

  • Open VPN 进程正在无限期地尝试连接到端点。

解决方案

验证您的计算机已连接到 Internet。请您的客户端VPN管理员验证配置文件中的remote指令是否解析为有效的 IP 地址。您也可以通过在 “ AWS VPN客户端” 窗口中选择 “断开连接” 来断开VPN会话连接,然后再次尝试连接。

客户端无法创建配置文件

问题

在您尝试使用 AWS 提供的客户端创建配置文件时收到了以下错误。

The config should have either cert and key or auth-user-pass specified.
原因

如果客户端VPN端点使用相互身份验证,则配置 (.ovpn) 文件不包含客户端证书和密钥。

解决方案

确保您的客户VPN管理员将客户证书和密钥添加到配置文件中。有关更多信息,请参阅 AWS Client VPN 管理员指南中的导出客户端配置

需要帮助工具错误

问题

尝试连接时出现以下错误VPN。

AWS VPN Client Helper Tool is required to establish the connection.
解决方案

请参阅以下关于 re AWS : Post 的文章。AWSVPN客户端-需要帮助工具错误

Tunnelblick

在 macOS High Sierra 10.13.6 上测试了 Tunnelblick 软件版本 3.7.8 (build 5180) 的以下故障排查信息。

私有配置的配置文件存储在计算机的以下位置。

/Users/username/Library/Application Support/Tunnelblick/Configurations

共享配置的配置文件存储在计算机的以下位置。

/Library/Application Support/Tunnelblick/Shared

连接日志存储在计算机的以下位置。

/Library/Application Support/Tunnelblick/Logs

要增加日志的详细程度,请打开 Tunnelblick 应用程序,选择设置,然后调整日志级别的值。VPN

未找到密码算法 “AES-256-GCM”

问题

连接失败,并在日志中返回以下错误。

2019-04-11 09:37:14 Cipher algorithm 'AES-256-GCM' not found
2019-04-11 09:37:14 Exiting due to fatal error
原因

该应用程序使用的开放VPN版本不支持密码算法 AES -256-。GCM

解决方案

通过执行以下操作选择兼容的 Open VPN 版本:

  1. 打开 Tunnelblick 应用程序。

  2. 选择设置

  3. 对于开放VPN版本,请选择 2.4.6-开放SSL版本为 v 1.0.2q。

连接停止响应并重置

问题

连接失败,并在日志中返回以下错误。

MANAGEMENT: >STATE:1559117927,WAIT,,,,,,
MANAGEMENT: >STATE:1559117928,AUTH,,,,,,
TLS: Initial packet from [AF_INET]3.217.107.5:443, sid=df19e70f a992cda3
VERIFY OK: depth=1, CN=server-certificate
VERIFY KU OK
Validating certificate extended key usage
Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server       Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=server-cvpn
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
原因

客户端证书已吊销。连接在尝试进行身份验证后停止响应,并最终从服务器端重置。

解决方案

向您的客户机VPN管理员申请新的配置文件。

扩展密钥用法 (EKU)

问题

连接失败,并在日志中返回以下错误。

TLS: Initial packet from [AF_INET]50.19.205.135:443, sid=29f2c917 4856ad34
VERIFY OK: depth=2, O=Digital Signature Trust Co., CN=DST Root CA X3
VERIFY OK: depth=1, C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
VERIFY KU OK
Validating certificate extended key usage
 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=cvpn-lab.myrandomnotes.com (http://cvpn-lab.myrandomnotes.com/)
Connection reset, restarting [0]
SIGUSR1[soft,connection-reset] received, process restarting
MANAGEMENT: >STATE:1559138717,RECONNECTING,connection-reset,,,,,
原因

服务器身份验证成功。但是,由于客户端证书为服务器身份验证启用了扩展密钥用法 (EKU) 字段,因此客户端身份验证失败。

解决方案

确保您使用的是正确的客户端证书和密钥。如有必要,请向您的客户VPN管理员进行验证。如果您使用服务器证书而不是客户端证书连接到客户端VPN端点,则可能会发生此错误。

过期的证书

问题

服务器身份验证成功,但客户端身份验证失败,并显示以下错误。

WARNING: “Connection reset, restarting [0] , SIGUSR1[soft,connection-reset] received, process restarting”
原因

客户端证书有效性已过期。

解决方案

向您的客户VPN管理员申请新的客户证书。

打开 VPN

以下故障排除信息已在 macOS High Sierra 10.13.6 上的 Open Conn VPN ect Client 软件版本 2.7.1.100 上进行了测试。

配置文件存储在计算机的以下位置。

/Library/Application Support/OpenVPN/profile

连接日志存储在计算机的以下位置。

Library/Application Support/OpenVPN/log/connection_name.log

无法解决 DNS

问题

连接失败并显示以下错误。

Mon Jul 15 13:07:17 2019 Transport Error: DNS resolve error on 'cvpn-endpoint-1234.prod.clientvpn.us-east-1.amazonaws.com' for UDP session: Host not found (authoritative)
Mon Jul 15 13:07:17 2019 Client terminated, restarting in 2000 ms...
Mon Jul 15 13:07:18 2019 CONNECTION_TIMEOUT [FATAL-ERR]
Mon Jul 15 13:07:18 2019 DISCONNECTED
Mon Jul 15 13:07:18 2019 >FATAL:CONNECTION_TIMEOUT
原因

Open VPN Connect 无法解析客户机VPNDNS名称。

解决方案

请参阅《AWS Client VPN 管理员指南》中的 “无法解析客户端VPN端点DNS名称” 的解决方案。